Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.
watchOS 5.1.3
Vydané 22. januára 2019
AppleKeyStore
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-6235: Brandon Azad
Core Media
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-6202: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAnimation
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-6231: Zhuo Liang z tímu Qihoo 360 Nirvan
CoreAnimation
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6230: Proteas, Shrek_wzw a Zhuo Liang z tímu Qihoo 360 Nirvan
FaceTime
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Vzdialený útočník môže byť schopný inicializovať hovor cez FaceTime a spôsobiť tak spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6224: Natalie Silvanovich z tímu Google Project Zero
IOKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6214: Ian Beer z tímu Google Project Zero
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-6210: Ned Williamson zo spoločnosti Google
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-6213: Ian Beer z tímu Google Project Zero
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-6209: Brandon Azad z tímu Google Project Zero
Spracovanie prirodzeného jazyka
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2019-6219: Authier Thomas
SQLite
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2018-20346: Tím Tencent Blade
CVE-2018-20505: Tím Tencent Blade
CVE-2018-20506: Tím Tencent Blade
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6227: Qixun Zhao z tímu Qihoo 360 Vulcan
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6216: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-6217: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Proteas, Shrek_wzw a Zhuo Liang z tímu Qihoo 360 Nirvan
CVE-2019-6226: Apple
Ďalšie poďakovanie
mDNSResponder
Poďakovanie za pomoci si zaslúži Fatemah Alharbi z Kalifornskej univerzity v Riverside (UCR) a univerzity Taibah (TU), Jie Chang zo spoločnosti LinkSure Network, Yuchen Zhou z Northeastern University, Feng Qian z Minnesotskej univerzity v Twin City, Zhiyun Qian z Kalifornskej univerzity v Riverside (UCR) a Nael Abu-Ghazaleh z Kalifornskej univerzity v Riverside (UCR).